MAGERIT: metodologa prctica para gestionar riesgos

Cuando se habla de gestionar la seguridad de la informacin, en lo que generalmente se piensa es en la

serie de normas ISO 27000. Pero puntualmente para la gestin de riesgos ha otras alternati!as que
pueden audar a la empresa.
"na parte fundamental dentro de la gestin de la seguridad de la informacin, es conocer controlar los
riesgos a los cuales est# e$puesta la informacin de la compa%&a. Cuando las empresas buscan como
implementar modelos de gestin de seguridad suelen adoptar metodolog&as que las que les brinden un
marco de traba'o definido que facilite la administracin de los riesgos adem#s permita me'orarla.
Si bien ISO 27005 e ISO !000 son los est#ndares m#s conocidos para la gestin de riesgos, e"isten
otros instr#mentos $#e estando alienados con estos estndares % $#e &acilitan a #na empresa
en&ocarse en implementar 'erramientas % metodologas que satisfagan los requerimientos b#sicos de la
administracin de riesgos en sus sistemas de informacin.
(n este sentido fue desarrollado )*+(,I- una metodolog&a de an#lisis gestin de riesgos elaborada
por el Consejo Superior de Administracin Electrnica de Espaa, que ofrece un m.todo sistem#tico para
anali/ar los riesgos deri!ados del uso de tecnolog&as de la informacin comunicaciones para de esta
forma implementar las medidas de control ms adec#adas $#e permitan tener los riesgos mitigados.
*dem#s de esto, cuenta con todo un documento que re0ne t.cnicas e'emplos de cmo reali/ar el an#lisis
de riesgos.
Puntualmente MAGERIT se (asa en anali)ar el impacto $#e p#ede tener para la empresa la
*iolaci+n de la seg#ridad, buscando identi&icar las amena)as que pueden llegar a afectar la compa%&a %
las *#lnera(ilidades que pueden ser utili/adas por estas amena/as, logrando as& tener una identificacin
clara de las medidas pre!enti!as correcti!as m#s apropiadas.
1o interesante de esta metodolog&a, es que presenta #na g#a completa % paso a paso de cmo lle!ar a
cabo el an#lisis de riesgos. (sta metodolog&a est# di!idida en tres libros. (l primero de ellos hace
referencia al ).todo, donde se describe la estructura que debe tener el modelo de gestin de riesgos. Este
li(ro est de ac#erdo a lo $#e propone ISO para la gesti+n de riesgos.
(l segundo libro es un Cat#logo de (lementos, el cual es una especie de in*entario $#e p#ede #tili)ar la
empresa para en&ocar el anlisis de riesgo. (s as& como contiene una di!isin de los acti!os de
informacin que deben considerarse, las caracter&sticas que deben tenerse en cuenta para !alorar los
acti!os identificados adem#s un listado con las amena/as controles que deben tenerse en cuenta.
2inalmente el tercer libro es una +u&a de -.cnicas, lo cual lo con!ierte en un &actor di&erenciador con
respecto a otras metodologas. (n este tercera parte se descri(en di&erentes t,cnicas &rec#entemente
#tili)adas en el anlisis de riesgos. -ontiene e.emplos de anlisis con tablas, algoritmos, #rboles de
ataque, an#lisis de costo beneficio, t.cnicas gr#ficas buenas pr#cticas para lle!ar adelante sesiones de
traba'o para el an#lisis de los riesgos.
Esta metodologa es m#% /til para a$#ellas empresas $#e inicien con la gesti+n de la seg#ridad de la
in&ormaci+n, pues permite enfocar los esfuer/os en los riesgos que pueden resultar m#s cr&ticos para una
empresa, es decir aquellos relacionados con los sistemas de informacin. 1o interesante es que al estar
alineado con los est#ndares de ISO es que su implementacin se con!ierte en el p#nto de partida para
#na certi&icaci+n o para me.orar los sistemas de gesti+n.